# DC0052 — Social Media ## Descrição **Social Media** como componente de dados abrange contas e atividades em plataformas de mídia social que foram estabelecidas, comprometidas ou de outra forma adquiridas por adversários para conduzir operações de reconhecimento, influência, engenharia social e outras ameaças cibernéticas. Este componente é primariamente relevante para detecção de atividades na fase de pré-comprometimento. Adversários utilizam redes sociais de múltiplas formas: criação de personas falsas para spear-phishing via LinkedIn, Instagram ou WhatsApp; contas comprometidas de executivos para campanhas de desinformação ou fraude BEC (Business Email Compromise); grupos secretos em Telegram para coordenação de ataques; e perfis falsos para coletar informações sobre alvos e seus relacionamentos profissionais. A coleta deste componente tipicamente envolve OSINT ativo — monitoramento de menções a domínios da organização, nomes de executivos, produtos e tecnologias — combinado com feeds de threat intelligence que rastreiam personas maliciosas conhecidas e campanhas de desinformação. Ferramentas como Maltego, SpiderFoot e plataformas de Brand Protection automatizam parte desta vigilância. ## Telemetria | Fonte | Mecanismo | Informação Coletada | |-------|-----------|---------------------| | Twitter/X API | Streaming API | Menções, hashtags, URLs maliciosas | | LinkedIn | Monitoramento OSINT | Perfis falsos, conexões suspeitas | | Telegram | Feeds especializados | Grupos de vazamento, canais de ameaça | | Threat Intel Feeds | Maltego, SpiderFoot | Personas maliciosas, clusters de contas | | Dark Web | Monitoring services | Credenciais de redes sociais à venda | | Proxy/SIEM | Access logs | Acesso a páginas de phishing via redes sociais | ## Queries de Detecção **Splunk — Acesso a domínios de redes sociais em URLs de phishing (via proxy):** ```spl index=proxy_logs | rex field=url "(?P<social_domain>linkedin\.com|instagram\.com|facebook\.com|twitter\.com|t\.me)" | where isnotnull(social_domain) | lookup threat_intel_urls url AS url OUTPUT is_malicious category | where is_malicious="true" | stats count by src_ip, url, user, social_domain | sort -count ``` > Requer enriquecimento com feeds de threat intel de URLs maliciosas associadas a redes sociais. ## Técnicas Relacionadas - [[t1593-search-open-websitesdomains]] — Reconhecimento via perfis públicos de funcionários em redes sociais - [[t1585-establish-accounts|T1585-establish-accounts]] — Criação de contas falsas em redes sociais para operações de influência e phishing - [[T1566.003-phishing-spearphishing-via-service]] — Uso de mensagens diretas em redes sociais como vetor de phishing ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > O Brasil possui uma das maiores populações de usuários de redes sociais do mundo, tornando este vetor particularmente relevante. Grupos hacktivistas como **Lapsus$** — que tem membros e alvos brasileiros — utilizaram engenharia social via Telegram e Discord para recrutar insiders e obter credenciais. Campanhas de BEC sofisticadas contra empresas brasileiras combinam reconhecimento via LinkedIn com spear-phishing via WhatsApp, explorando a alta adoção desta plataforma no Brasil. O monitoramento de Telegram é especialmente relevante para acompanhar ameaças hacktivistas e ransomware que anunciam alvos brasileiros. ## Referências - [MITRE ATT&CK — DC0052 Social Media](https://attack.mitre.org/datacomponents/DC0052) - [CERT.br — Engenharia Social e Phishing](https://www.cert.br/docs/whitepapers/eng-social/) - [Maltego — Social Media OSINT](https://www.maltego.com/blog/social-media-osint/) - [[ds0015-application-log|DS0015 — Application Log]] - [[t1593-search-open-websitesdomains]] - [[_defenses|Hub de Defesas]]